Computerbetrug bei absprachewidriger Nutzung einer Bankkarte

Der 4. Senat des BGH (4 StR 464/16) hat Zweifel dahingehend geäußert, ob in Fällen, in denen an einem Geldautomaten mit einer vom Berechtigten überlassenen Bankkarte unter Verwendung der ebenfalls vom Berechtigten bekannt gegebenen Geheimzahl (absprachewidrig) Geld abgehoben wird, wirklich kein Computerbetrug vorliegt:

Hintergrund ist, dass der 4. Senat in den Raum stellt, dass es sich bei Karte und Geheimzahl um ein personalisiertes Zahlungsauthentifizierungsinstrument handelt, das schon mit dem Gesetz zwingend geheim zu halten ist – eine Bevollmächtigung Dritter ist damit ausgeschlossen, die aber wiederum als Rechtfertigungsgrundlage bisher herangezogen wurde (so etwa BGH, 2 StR 16/15, hier im Blog).

“Computerbetrug bei absprachewidriger Nutzung einer Bankkarte” weiterlesen

Ausblick: Netzwerkdurchsetzungsgesetz

Lange stand es im Raum, nun im März 2017 wurde es (plötzlich) bekannt gegeben: Der Entwurf eines Gesetzes zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (Netzwerkdurchsetzungsgesetz). Mit diesem soll zielgerichtet auf Betreiber sozialer Netzwerke eingewirkt werden, damit diese rechtswidrige Inhalte unterbinden.

Hinweis: Die Materialien zum Netzwerkdurchsetzungsgesetz finden sich hier
“Ausblick: Netzwerkdurchsetzungsgesetz” weiterlesen

Tatnachweis bei Bestellung von Drogen im Internet

Beim Kollegen Burhoff findet sich ein Beschluss des AG Iserlon (16 Ds 139/17), in dem einige Zeilen zum Tatnachweis bei Bestellung von Drogen im Internet zu finden sind in dem Fall, in dem der Angeschuldigte die eigene Bestellung bestreitet:

Vor diesem Hintergrund ist eine Verurteilung mit den zur Verfügung stehenden Beweismitteln nicht wahrscheinlich, da letztlich nicht ausgeschlossen werden kann, dass eine andere Person mit oder ohne Wissen des Angeschuldigten die entsprechenden Bestellungen aufgegeben haben kann.
Mithin war die Eröffnung des Verfahrens mangels hinreichender Verurteilungswahrscheinlichkeit aus tatsächlichen Gründen abzulehnen.

In diesem Fall ging es um die zweifache Bestellung von Drogen (Kokain). Dies entspricht auch den Fällen, die ich regelmäßig erlebe, hier stützt man sich grundsätzlich auf zumindest zwei Bestellungen. Gleichwohl ist die Bestellung zu einer Anschrift nicht zwingend Aussagekräftig: Je nach Lage und Zugänglichkeit des Briefkastens ist es durchaus nicht abwegig, dass ein “freundlicher Nachbar” die Möglichkeit anonymer Bestellung nutzt. Zu einfach sollte man es sich da auch nicht machen: Es sind häufig die Gesamtumstände, die erst ernsthafte Rückschlüsse in einer Gesamtschau mit dem starken Indiz der Bestelladresse, ermöglichen. Die Entscheidung des AG Iserlon ist daher durchaus richtig, aber keineswegs zu verallgemeinern.

Sexting

Sexting an sich ist nicht per se strafbar, aber inzwischen ein gefestiger Begriff, zusammengesetzt aus “Sex” und “Texting”. Es geht darum, dass man von sich selber erotische oder Nacktbilder versendet, damit aber eben die Kontrolle über diese Bilder aus der Hand gibt, die danach durch den Empfänger weiter verbreitet werden können. Bei einem Foto von einem unter 18jährigen steht hier automatisch bei einem älteren Empfänger eine Straftat im Raum, im Übrigen können betroffene sich heute zielgerichtet gegen ungenehmigte Verbreitung wehren.

Cybergrooming

Das Cybergrooming bezeichnet die Kontaktaufnahme erwachsener Täter zu Kindern oder Jugendlichen mittels Internet zur zielgerichteten Anbahnung sexueller Handlungen, etwa über einen Chat oder mittels Messenger. Dies ist in Deutschland inzwischen als eigene Handlungsform unter Strafe gestellt.

Distributed Denial of Service – DDoS

Ein Distributed Denial of Service (DDoS) Angriff ist sehr allgemein gesprochen dann anzunehmen, wenn durch eine Vielzahl böswillig erzeugter Anfragen ein System nach außen hin nicht mehr erreichbar ist. Es gibt dabei drei Hauptangriffspunkte:

  • Internetzugang
  • Betriebssystem
  • Dienste

So kann etwa durch massenhafte Anfrage, etwa über ein Botnetz, erreicht werden, dass der Webserver-Dienst überlastet wird weil er die vielfachen Anfragen nicht mehr bewältigen kann.

Botnet

Bei einem Botnet geht es darum, dass ein Dritter (zahlreiche) verschiedene Systeme kontrolliert und zu einem Netzwerk verbinden kann, dass er für eigene (böswillige) Zwecke nutzen kann. So können zahlreiche beherrschte System für einen Distributed Denial of Service (DDoS) Angriff genutzt werden, aber auch um massenhaft Mails zu versenden, etwa als verteiltes Netzwerk für einen SPAM-Versand. Nicht immer geht es dabei alleine um Computer oder Server, auch Router oder sonstige Systeme mit Internetzugang wie Uhren oder Kühlschränke (“Internet of Things”) können dabei eine Rolle spielen.

Digitale Erpressung

Die digitale Erpressung ist nur ein technisierter Begriff, der strafrechtlich auf eine hergebrachte Erpressung entsprechend §253 StGB hinaus läuft. Typisch ist hierbei der Einsatz von Ransomware um Benutzer blockierter Systeme zur Zahlung von Geld zu verleiten. Da die Erpressung in einem besonders schweren Fall bereits mit einer Freiheitsstrafe von mindestens einem Jahr, etwa bei gewerbsmäßiger Begehung, bewehrt ist, sollte dieses Verhalten nicht unterschätzt werden.

Social Engineering

Was ist Social Engineering? Moderne Angriffe laufen nur teilweise technisch, Erfolg versprechender sind regelmäßig Ansätze im Bereich des Social Engineering. Hierbei geht es darum, sich nicht auf das System sondern einen Nutzer zu konzentrieren und den Nutzer durch soziale Verhaltensweisen dazu zu bringen, gewollt oder ungewollt, zumindest Hinweise auf Informationen etwa zu einem Login zu geben. Man installiert also nicht etwa nur einen Keylogger der Benutzereingaben abfängt, sondern täuscht etwa vor ein Mitarbeiter eines Supports zu sein um auf diesem Wege dann Login-Informationen abzufragen.

Hinweis: Ein Weg zum Umgang mit dieser Problematik sollt ein jedem Fall sein, die Mitarbeiter mit Social Media Guidelines zu unterstützen. Weiterhin sollten Sie andenken, die Nutzung des Internets in Ihrem Betrieb mit klaren Nutzungsregeln zu versehen, insbesondere was die private Nutzung des Internets im Betrieb angeht.

Phishing

Das Phishing ist bis heute verbreitet, hat aber durchaus an praktischer Relevanz nachgelassen. Unter “Phishing” werden Versuche gefasst durch nachgeahmte Darstellungen wie etwa gefälschte Webseiten, Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen um damit einen Identitätsdiebstahl zu begehen. Beliebt sind nachgemachte Formulare, in die man seine persönlichen Daten eingeben soll, die dann aber von Dritten eingestellt wurden – durch gefälschte E-Mails wird man auf solche Formulare geleitet und unter einem Vorwand wie einem Sicherheitsvorfall zur Eingabe persönlicher Daten wie Login-Informationen bewegt.

Identitätsdiebstahl

Beim Identitätsdiebstahl geht es darum, Zugang zu verschiedenen Arten von Accounts oder zahlungsrelevante Informationen eines Internetnutzers zu erlangen, um dann diese Daten zu Missbrauchen. In schweren Fällen wird im Namen des Opfers nach außen hin umfangreich gehandelt, viele Fälle sind lediglich darauf ausgelegt, an Zahlungsdaten zu gelangen um diese Zahlungsmittel sodann für eigene Zwecke zu missbrauchen. In umfangreichen Fällen dagegen werden Opfer massiv in Misskredit gebracht, etwa durch eine falsche Darstellung der Persönlichkeit oder auch massenhaft abgeschlossene Verträge.